L'accès réseau Zero Trust (ZTNA) est la technologie qui permet aux organisations de mettre en œuvre un modèle Zero Trust security.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité Zero Trust
Périmètre défini par logiciel
Sécurité de type « château entouré de douves »
VPN
Sécurité des VPN
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L'accès réseau Zero Trust (ZTNA pour Zero Trust Network Access) est la technologie qui permet de mettre en œuvre un modèle de sécurité Zero Trust. « Zero Trust » fait référence à un modèle de sécurité informatique qui part du principe que les menaces sont présentes à l'intérieur comme à l'extérieur d'un réseau. Par conséquent, ce modèle exige une vérification stricte pour chaque utilisateur et chaque appareil avant de les autoriser à accéder aux ressources internes.
ZTNA est similaire à l'approche du contrôle d'accès du périmètre défini par logiciel (SDP). Dans le ZTNA, comme dans le SDP, les appareils connectés n'ont pas connaissance de ressources (applications, serveurs, etc.) sur le réseau autres que celles auxquelles ils sont connectés.
Imaginez un scénario dans lequel chaque habitant reçoit un annuaire contenant les numéros de téléphone de tous les autres habitants de sa ville, et où chacun peut composer n'importe quel numéro pour contacter n'importe quelle autre personne. Imaginez maintenant un scénario dans lequel chacun a un numéro de téléphone non répertorié et où un résident doit connaître le numéro de téléphone d'un autre résident pour l'appeler. Ce deuxième scénario offre quelques avantages : pas d'appels indésirables, pas d'appels accidentels à la mauvaise personne et pas de risque que des personnes peu scrupuleuses utilisent l'annuaire de la ville pour tromper ou escroquer les résidents.
ZTNA ressemble au deuxième scénario. Mais au lieu de numéros de téléphone, ZTNA utilise des adresses IP « non répertoriées », des applications et des services. Il établit des connexions individuelles entre les utilisateurs et les ressources dont ils ont besoin, comme lorsque deux personnes qui doivent se contacter échangent des numéros de téléphone. Mais contrairement à deux personnes qui échangent des numéros, les connexions ZTNA doivent être revérifiées et recréées périodiquement.
Les réseaux privés virtuels (VPN) sont ce que de nombreuses organisations utilisent pour contrôler l'accès au lieu de ZTNA. Une fois que les utilisateurs sont connectés à un VPN, ils ont accès à l'ensemble du réseau et à toutes les ressources de ce réseau (c'est ce qu'on appelle souvent le modèle « castle-and-moat » ). Au lieu de cela, ZTNA n'accorde que l'accès à l'application spécifique demandée et refuse par défaut l'accès aux applications et aux données.
Il existe également des différences entre le ZTNA et les VPN sur le plan technique. Voici quelques-unes de ces différences :
Enfin, les VPN sont imprécis, traitant largement les utilisateurs et les appareils de la même manière, indépendamment de l'endroit où ils se trouvent et de ce à quoi ils doivent accéder. Les approches BYOD (bring your own device) devenant de plus en plus courantes, il est dangereux d'autoriser cet accès, car tout point d'extrémité compromis par un logiciel malveillant peut alors infecter tout un réseau. Pour ces raisons, les VPN sont souvent la cible d'attaques.
ZTNA est configuré de manière légèrement différente par chaque organisation ou fournisseur. Cependant, plusieurs principes sous-jacents restent cohérents dans toutes les architectures ZTNA :
Le ZTNA basé sur un agent nécessite l'installation d'une application logicielle appelée « agent » sur tous les dispositifs endpoint .
Basé sur un service ou sur le cloud, ZTNA est un service cloud plutôt qu'une application de point final. Il ne nécessite pas l'utilisation ou l'installation d'un agent.
Les organisations qui cherchent à mettre en œuvre une philosophie Zero Trust doivent réfléchir au type de solution ZTNA qui répond le mieux à leurs besoins. Par exemple, si une organisation est préoccupée par un mélange croissant de dispositifs gérés et non gérés, la solution ZTNA basée sur les agents peut être une option efficace. Par contre, si une organisation se concentre principalement sur le verrouillage de certaines applications Web, le modèle basé sur les services peut être déployé rapidement.
Une autre considération est que le ZTNA basé sur les services peut s'intégrer facilement aux applications cloud, mais pas aussi facilement à l'infrastructure sur site. Si l'ensemble du trafic réseau doit passer des dispositifs d'extrémité sur site au cloud, puis revenir à l'infrastructure sur site, les performances et la fiabilité pourraient être considérablement affectées.
Spécialisation du fournisseur : parce que la gestion des identités et des accès (IAM), les services réseau et la sécurité réseau sont traditionnellement séparés, la plupart des fournisseurs ZTNA se spécialisent généralement dans l'un de ces domaines. Les organisations doivent rechercher un fournisseur dont le domaine de spécialisation correspond à leurs besoins, ou un fournisseur qui combine les trois domaines en une seule solution de sécurité réseau cohérente.
Niveau de mise en œuvre : certaines organisations peuvent avoir déjà investi dans des technologies adjacentes pour supporter une stratégie de Zero Trust (par exemple, des fournisseurs d'IdP ou de protection des points de terminaison), tandis que d'autres peuvent avoir besoin de construire toute leur architecture ZTNA à partir de zéro. Les fournisseurs ZTNA peuvent proposer des solutions ponctuelles pour aider les organisations à compléter leurs déploiements ZTNA, à créer des architectures ZTNA complètes, ou les deux.
Prise en charge des applications patrimoniales : de nombreuses entreprises ont encore des applications patrimoniales sur site qui sont essentielles à leur activité. Comme il fonctionne sur Internet, ZTNA prend facilement en charge les applications cloud, mais peut nécessiter une configuration supplémentaire pour prendre en charge les applications patrimoniales.
Intégration IdP : de nombreuses organisations ont déjà un IdP en place. Certains fournisseurs de ZTNA ne travaillent qu'avec certains IdP, obligeant leurs clients à migrer leur base de données d'identité pour utiliser leur service. D'autres sont agnostiques vis-à-vis des IdP — ils peuvent s'intégrer à n'importe quel IdP.
L'Accès Zero Trust aux applications (ZTAA), également appelé Sécurité Zero Trust pour les applications, suit les mêmes principes que le ZTNA qu'il applique pour l'accès aux applications plutôt qu'à l'accès au réseau. Les solutions ZTAA vérifient l'accès des utilisateurs aux applications en s'intégrant aux fournisseurs IdP et SSO, en chiffrant les connexions, en examinant individuellement chaque demande d'accès à une application, et en bloquant ou en autorisant chaque demande. ZTAA peut être proposé sans agent via le navigateur, ou avec un agent de point de terminaison.
Pour en savoir plus, voir Sécurité Zero Trust.
Cloudflare propose une solution ZTNA construite sur le réseau périphérique mondial de Cloudflare pour des performances rapides. Voir la page de la solution ZTNA.
Pour de plus amples informations sur la philosophie de la confiance zéro, voir notre article sur la sécurité Zero Trust.